红帽全球峰会You are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
3.6. 使用进程基准
您可以使用流程基础来最大程度降低基础架构安全性的风险。通过这种方法,Red Hat Advanced Cluster Security for Kubernetes 首先发现现有的进程并创建基准。然后,它以默认的 deny-all 模式运行,只允许在基准中运行列出的进程。
<discreet><title>进程基准</title>安装 Red Hat Advanced Cluster Security for Kubernetes 时,没有默认的进程基准。当 Red Hat Advanced Cluster Security for Kubernetes 发现部署时,它会为部署中的每个容器类型创建一个进程基准。然后,它会将发现的进程添加到自己的进程基线中。
</discreet><discreet><title>进程基准状态</title>在进程发现阶段,所有基线都处于解锁状态。
处于 解锁 状态:
- 当 Red Hat Advanced Cluster Security for Kubernetes 发现新进程时,它会将该进程添加到进程基准中。
- 进程不会显示为风险,也不会触发任何违反情况。
在 Red Hat Advanced Cluster Security for Kubernetes 超时后,当 Red Hat Advanced Cluster Security for Kubernetes 收到来自部署中的容器的第一个进程指示符后,它会完成进程发现阶段。此时:
- Red Hat Advanced Cluster Security for Kubernetes 停止在进程基准中添加进程。
- 没有包括在进程基准中的新进程会显示为风险,但它们不会触发任何违反情况。
要生成违反情况,您必须手动锁定进程基线。
处于 锁定状态 :
- Red Hat Advanced Cluster Security for Kubernetes 停止在进程基准中添加进程。
- 不存在于进程基准中的新进程会触发冲突。
独立于锁定或解锁的基准状态,您总是可以在基线中添加或删除进程。
对于一个部署,如果每个 pod 中存在多个容器,Red Hat Advanced Cluster Security for Kubernetes 为每种容器类型创建一个进程基准。对于这样的部署,如果某些基准被锁定并且一些基准被解锁,则部署的基准状态显示为 Mixed。
3.6.1. 查看进程基准
您可以从 风险 视图查看进程基准。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
- 进程基准在 Spec Container Baselines 部分可见。
3.6.2. 在基线中添加进程
您可以在基线中添加进程。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
- 在 Running Process 部分,点您要添加到进程基准进程的 Add 图标。
Add 图标仅适用于不在进程基准中的进程。
3.6.3. 从基线中删除进程
您可以从基线中删除进程。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
- 在 Spec Container baselines 部分,点您要从进程基准中删除的进程的 Remove 图标。
3.6.4. 锁定和解锁进程基准
您可以锁定基线,以为所有没有列在基线中的进程触发违规,也可以取消锁定基线来停止触发违规。
流程
- 在 RHACS 门户,从 导航菜单中选择风险。
- 在默认 风险 视图中,从部署列表中选择部署。部署详情在右侧的面板中打开。
- 在 Deployment 详情面板中,选择 Process Discovery 选项卡。
在 Spec Container baselines 部分:
- 点击 Lock 图标触发基线中不在的进程的违反情况。
- 点击 Unlock 图标为不在基准中的进程停止触发违反情况。
